Deny unknow clients, аренду адресов будут получать только клиенты со статическим распределением, что конечно более безопасно, но менее удобно.
Примечание: Таким образом можно реализовать защиту от пользователей с низким уровнем знаний и случайно подключенных устройств. Однако имейте в виду, что пользователь знающий в вашей сети постоянный IP адрес, маску подсети, шлюз и DNS может получить доступ. Он может изменить MAC адреса дабы соответствовать реальным клиентам сети и получить их арендные адреса. Где это возможно, объедините эту опцию со статическими записями ARP, контролем доступа к коммутатору, которые будут ограничивать доступ MAC адресов к определённым портам коммутатора в целях повышения безопасности, а также включите или отключите переключение известных неиспользуемых портов.
Кроме того, отображается IP адрес и маска подсети для настраиваемого интерфейса. Ниже отображается доступный диапазон IP адресов для маски подсети, что может помочь определить попадание начального и конечного адресов диапазона в пул DHCP.
Два поля диапазона сообщают pfSense первый и последний адрес пула DHCP. Первый адрес должен быть меньше второго. Например, по умолчанию для LAN диапазон DHCP базируется на подсети для IP адреса по умолчанию LAN. Это 192.168.1.10 - 192.168.1.199. Диапазон может изменяться в зависимости от ваших требований, но он должен находится в рамках подсети интерфейса.
Могут быть определены два WINS сервера (Windows Internet Name Server) . Если у вас один или несколько WINS серверов, здесь следует ввести их адреса. Фактически сервера не обязаны находится в той же подсети, но следует убедится, что существуют соответствующие правила маршрутизатора и брандмауэра, позволяющие их достичь. Если оставить это поле пустым WINS не будет передаваться клиентам.
В зависимости от ваших настроек, вы можете и не указывать DNS серверы. Если вы используете для обработки DNS форвардер встроенный в pfSense, оставьте эти поля пустыми и pfSense будет автоматически назначать себя как сервер DNS для клиентских хостов. Если DNS форвардинг отключается, и эти поля оставляются пустыми, pfSense действует основываясь на DNS серверах указанных в общих параметрах на странице System- >General setup. Если вы хотите использовать специфические DNS сервера а не выбранные автоматически, следует заполнить указанные поля как минимум двумя значениями IP адресов (смотрите раздел 24.2. "Свободная фильтрация контента с использованием OpenDNS"). В сетях серверов ОС Windows, особенно при наличии AD, рекомендуется использовать эти сервера для клиентов DNS. При использовании DNS форвардера в сочетании с CARP, укажите в этих полях CARP IP для этого интерфейса.
Опция Gateway может быть пустой, в случае, если pfSense является шлюзом для локальной сети. Если это не так, необходимо заполнить IP адрес шлюза который будет использоваться клиентами данного интерфейса. В случае использования CARP, здесь следует указать CARP IP для данного интерфейса.
Время аренды по умолчанию и максимальный период времени аренды указывают максимальную длительность аренды адреса DHCP. Время аренды по умолчанию используется в случае если клиент не запрашивает специфического времени истечения. Если клиент указывает, как долго он желает использовать аренду адреса, максимальное время аренды позволит ограничить данный запрос разумными пределами. Значения задаются в секундах, по умолчанию установлено 7200 секунд (2 часа) для параметра по умолчанию и 86400 секунд (1 день) для максимального времени аренды.
Если данная система является частью отказоустойчивого развёртывания, такого как кластер CARP, введите в данное поле IP адрес соседа системы. Это должен быть реальный IP адрес другой системы в данной подсети, а не общий CARP адрес.
|